1 / 19

基于 Cookie 劫持的 Deep-Web 用户数据安全性分析

基于 Cookie 劫持的 Deep-Web 用户数据安全性分析. 报告人:王昆 2012 年 7 月 5 日. 主要内容. 4. 1. 2. 3. 结 论. 研究背景. 实验设计. 实验结果与分析. 研究背景. Deep-Web 概念: Web 中不能被传统搜索引擎索引到的那部分内容. 特点: 信息量大 访问量高 信息质量高 增长速度快 安全风险 对数据库的攻击 模仿用户行为 获得数据 安全事件:

bevis-solomon
Download Presentation

基于 Cookie 劫持的 Deep-Web 用户数据安全性分析

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 基于Cookie劫持的Deep-Web用户数据安全性分析 报告人:王昆 2012年7月5日

  2. 主要内容 4 1 2 3 结 论 研究背景 实验设计 实验结果与分析

  3. 研究背景 Deep-Web • 概念:Web中不能被传统搜索引擎索引到的那部分内容. • 特点: • 信息量大 • 访问量高 • 信息质量高 • 增长速度快 • 安全风险 • 对数据库的攻击 • 模仿用户行为 获得数据 • 安全事件: • 2011年12月22日,以CSDN、人人网、开心网为代表的一些社交网站的用户信息被黑客公布,涉及用户资料近5000万份 • 2012年7月4日,当当网半年3次信息被盗,导致信息被盗,礼品卡盗刷等现象。虽然原因还不明确,但之前的CSDN等被盗引起的关联已经被有关方面视为这次事件的主要原因。

  4. 研究背景 • Deep-Web网站一般采取Cookie与Session机制 • 优势:免去重复登录,为用户提供方便 • 劣势:cookie信息可能被劫持,并被非法用户冒用,导致合法用户信息泄露 • 通过cookie建立session的流程如图所示

  5. 研究背景 为了保障用户登陆和数据传输安全,目前几乎所有的银行网站、电子商务网站和部分社交网络网站登录时都采用了HTTPS协议。 HTTPS协议使用安全套接字层(SSL)进行信息交换,是HTTP的安全版。相比较于HTTP协议,HTTPS协议解决了信任主机、通信数据防泄密防篡改等功能。 即使采用HTTPS方式,如果对cookie管理不善,同样会导致安全问题

  6. 研究背景 • 本文的研究目标 通过设计cookie劫持实验,从几个方面测试国内外主流社交网站和电子商务网站的安全机制,验证其抵御cookie劫持攻击的能力,并提出相应的安全措施。

  7. 主要内容 4 1 2 3 结 论 研究背景 实验设计 实验结果与分析

  8. cookie获取方式 • Cookie的获取方式主要有以下三种: • 在局域网内部获取同一局域网中其他用户的cookie。 • 在局域网与外网的出入口处截获cookie。 • 编写攻击脚本程序获得他人cookie。 • 出于实用和便捷的考虑本文采取第一种方式,即模拟局域网环境获取cookie。

  9. 实验设计 • 实验环境示意图: • 目标网站: • SNS:facebook、人人网 、开心网 • 微博:twitter 、新浪微博 、腾讯微博、网易微博 • 论坛类:CSDN 、水木社区、北邮人论坛 • 电子商务类:亚马逊、淘宝、京东、当当

  10. 研究背景

  11. 主要内容 4 1 2 3 结 论 研究背景 实验设计 实验结果与分析

  12. 实验结果与分析 通过对用户登录数据包信息的分析,各个deep-web网站登录方式以及用户密码加密情况如下表所示:

  13. 实验结果与分析 对facebook等10个网站实施cookie劫持攻击,可以得到各个网站对cookie劫持攻击的防御能力以及cookie的配置策略,如下表所示:

  14. 实验结果与分析 • 通过以上表可以得出以下结论: • 所测试的网站均无法抵御cookie劫持攻击。 • 仿冒用户登录绝大多数网站后,可以实施合法用户的所用操作。 • 各个网站缺省cookie的有效期均不相同,从1天到1年不等。 • cookie有效期内,除了facebook,用户的所有注销和退出操作都不会导致cookie的失效。对于facebook,当使用同一账号的所有终端都注销的时候,cookie就会失效。 • 对于所有测试网站,不同网段的主机使用cookie信息仿冒登录均有效。

  15. 实验结果与分析 实验中发现,facebook和twitter向用户提供了一种完全HTTPS协议方式,即用户不仅在建立连接时采用HTTPS协议,在用户操作时,也采用HTTPS协议传输数据。 • 优点:安全性高,对于这种完全HTTPS协议方式,可以完全抵御cookie劫持攻击。 • 缺点:导致页面加载速度降低 安全等级制度

  16. 安全措施 为保障用户数据安全,主流deep-web网站可以以在以下几个方面采取安全措施: • 登录时采取HTTPS方式传输用户名及密码 • 重要数据采用类似淘宝网、当当网等的多次验证方式 • cookie有效期设置不宜过长 • cookie有效期理应在注销之后失效 • 对于跨网段攻击,建立一定的ip验证机制 • 建立安全等级制度,对安全性要求较高的用户或在不安全环境下的用户提供完全HTTPS协议传输方式的登录选项。

  17. 主要内容 4 1 2 3 结论 研究背景 实验设计 实验结果与分析

  18. 结论 • 本文通过对主流deep-web网站实施cookie劫持实验,验证这些网站对cookie劫持攻击的防御能力,分析其采用的安全策略。并提出一定的防御性建议。 • 实验结果表明 • 当前主流deep-web网站,特别是国内社交网站对于cookie劫持的抵御能力较差。而facebook,twitter通过采用可选的完全HTTPS传输模式建立的安全等级制度值得国内社交网站学习。 • 淘宝网和当当网等国内电子商务网站采取的多层验证方式也可以一定程度上抵御cookie劫持攻击。

  19. Thank You !

More Related